In augustus 2020 daagde The Privacy Collective Adtech giganten Oracle en Salesforce voor de rechter. De massaschadezaak is in hoger beroep hervat met de mondelinge behandeling voor het gerechtshof Amsterdam afgelopen donderdag. Hoewel een schadeclaim van 10 miljard op tafel ligt is niet de hoogte van dit bedrag maar de ontvankelijkheid van TPC als belangenbehartiger in het geding. Maar waarom zou TPC niet als belangenbehartiger kunnen optreden als zij brede steun geniet van verschillende NGO's en de Nederlandse Consumentenbond? Lees het in dit artikel.
Een korte samenvatting van de zaak: het gaat inhoudelijk over beschuldigingen tegen Oracle en Salesforce. Zij zouden zich op grote schaal en systematisch schuldig hebben gemaakt aan inbreuken op de privacy van Nederlandse internetgebruikers door de door hun aangeboden diensten. Het gaat hier om de Data Management Platforms (DMP's). Deze platforms worden ervan beschuldigd enorme hoeveelheden persoonsgegevens van internetgebruikers te verzamelen zonder hun toestemming, daarmee gedetailleerde profielen te creëren en deze informatie te gelde te maken door middel van Real Time Bidding (RTB). Dit alles zou volgens TPC leiden tot een schending van de AVG en de Telecommunicatiewet (1).
Ten eerste, hoe zit het met dat enorm hoge bedrag van 10 miljard? De dagvaarding beschrijft de ernst en reikwijdte van de vermeende privacyschendingen. In het 226 pagina tellende document vordert TPC een vergoeding op grond van de immateriële schade die zou zijn veroorzaakt door de onrechtmatige verwerking. De stichting eist een forfaitaire vergoeding, die dient als een praktische oplossing voor het vaststellen van schadevergoeding. De keuze voor een abstracte begroting van €500 per getroffen individu is gebaseerd op de ernst van de vermeende schendingen, de aard van de verwerkte persoonsgegevens en de mate van verwijtbaarheid. Een dergelijke begroting van de schade is met name relevant in de context van AVG-schendingen, waar immateriële schade niet precies te kwantificeren is. De forfaitaire vergoeding strookt echter niet met de aard van het Nederlandse schadevergoedingsrecht omdat een dergelijke vergoeding zou wijzen op een punitieve functie van dit recht. TPC beroept zich op de uitzondering op deze regel gezien de voor de hand liggende nadelige gevolgen die de schendingen van de fundamentele rechten veroorzaken. Zij wijst hierbij naar de prejudiciële beslissing van de Hoge Raad in de Groningerveld zaak (2) die een dergelijke uitzondering gedefinieerd heeft.
De positie van TPC, ondersteund door uitgebreid technisch onderzoek, waaronder onderzoek door Dr. Muhammad Ahmad Bashir (3), belicht de privacygevoelige aard van de trackingtechnologieën van Oracle, Salesforce en de Adtech industrie in het algemeen. De bevindingen uit het onderzoek onthullen het plaatsen van trackingcookies op een breed scala aan populaire Nederlandse websites, wat volgens TPC leidt tot de conclusie dat vrijwel elke Nederlandse internetgebruiker is getroffen. De omvang van de vermeende gegevensverzameling en -verwerking, gecombineerd met daaropvolgende inbreuken en lekken, onderstreept het potentiële gevaar voor de privacy en controle over persoonlijke informatie van Nederlandse internetgebruikers.
Afgelopen donderdag vond de mondelinge behandeling van de zaak in hoger beroep plaats, waarbij de stichting opnieuw de kans kreeg haar ontvankelijkheid aan te tonen. De stichting komt op voor alle Nederlandse internetgebruikers die de trackingcookies van Oracle en Salesforce op hun computer hebben staan. Ondanks brede steun van verschillende NGO's en de Nederlandse Consumentenbond, staat de representativiteit van de stichting lang niet vast. De vraag of de stichting voldoende representatief is voor haar achterban is in eerste aanleg ontkennend beantwoord vanwege het door TPC gekozen 'Like' systeem (4). De rechtbank oordeelde dat de achterban niet bewust zou zijn van wat zij steunde door het enkele aanklikken van een steun knop. Verder zou de omstandigheid dat de stichting handelt vanuit het principe van Data-minimalisatie , volgens de rechtbank, interactie met de achterban onmogelijk maken nu TPC niet over haar contactgegevens beschikt. TPC stelt in hoger beroep dat de rechtbank de representativiteit niet juist heeft beoordeeld. Zij stelt dat de organisatie haar achterban wél kan bereiken, de achterban wél weet wat zij steunt en benadrukt het recht van Nederlanders om door middel van een opt-out systeem te worden vertegenwoordigd. TPC blijft hiermee principieel achter haar data-minimalisatiebeleid staan, iets waar het Hof de organisatie moeilijk voor kan straffen gezien de raison d'être van de organisatie. Bovendien wijst TPC naar de brede steun van een grote groep privacy gerichte NGO’s en de Consumentenbond als bewijs voor haar representativiteit.
De uitspraak van het gerechtshof Amsterdam volgt op 18 juni 2024. De uitkomst van de zaak kan een precedent scheppen voor de private handhaving van gegevensbescherming in heel Europa, al dan niet voor de ontvankelijkheidstoets van de WAMCA.
Wil je meer weten over de WAMCA en de ontvankelijkheidstoets voor belangenbehartigers? Lees dan het recente artikel van Anouck Bakhuis (SOLV Advocaten).
(1) https://theprivacycollective.nl/wp-content/uploads/2024/01/RBAMS-dagvaarding-collectieve-vordering-Oracle-Nederland-BV-SFDC-Netherlands-BV-Oracle-Corporation-Oracle-America-Inc-Salesforce-4.pdf
(2) https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:HR:2019:1278
(3) https://www.khoury.northeastern.edu/home/ahmad/publications/bashir-thesis.pdf
(4) https://www.rechtspraak.nl/SiteCollectionDocuments/RBAMS-eindvonnis-tpc-oracle-en-salesforce.pdf
